Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM (Identity and Access Management). Queste policy contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC (Virtual Private Cloud).

Criteri firewall gerarchici

Le policy del firewall gerarchiche consentono di raggruppare le regole in un oggetto policy che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare le policy firewall gerarchiche a un'intera organizzazione o a singole cartelle.

Per specifiche e dettagli sui criteri firewall gerarchici, vedi Criteri firewall gerarchici.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto policy che può essere applicato a tutte le regioni di una rete VPC.

Per le specifiche e i dettagli delle policy firewall di rete globali, consulta Policy firewall di rete globali.

Criteri firewall di rete regionali

Le policy firewall di rete regionali consentono di raggruppare le regole in un oggetto policy che può essere applicato a una regione specifica di una rete VPC.

Per specifiche e dettagli delle policy firewall regionali, vedi Policy firewall di rete regionali.

Policy del firewall di sistema regionali

Le policy firewall di sistema regionali sono simili alle policy firewall di rete regionali, ma sono gestite da Google. Le policy del firewall di sistema regionali hanno le seguenti caratteristiche:

  • Google Cloud valuta le regole nelle policy del firewall di sistema regionali immediatamente dopo aver valutato le regole nelle policy firewall gerarchiche. Per maggiori informazioni, consulta Procedura di valutazione delle regole firewall.

  • Non puoi modificare una regola in una policy del firewall di sistema regionale, tranne per attivare o disattivare la registrazione delle regole firewall. I servizi Google come Google Kubernetes Engine (GKE) gestiscono le regole nelle norme firewall di sistema regionali utilizzando API interne.

  • Google Cloud crea una policy firewall di sistema regionale in una regione di una rete VPC quando un servizio Google richiede regole in quella regione della rete. Google Cloud può associare più di una policy firewall di sistema regionale a una regione di una rete VPC in base ai requisiti dei servizi Google.

  • Non ti vengono addebitati costi per la valutazione delle regole nelle policy del firewall di sistema a livello di regione.

Interazione con il profilo di rete

Le reti VPC regolari supportano le regole firewall nei criteri firewall gerarchici, nei criteri firewall di rete globali, nei criteri firewall di rete regionali e nelle regole firewall VPC. Tutte le regole firewall sono programmate come parte dello stack di virtualizzazione di rete Andromeda.

Le reti VPC che utilizzano determinati profili di rete limitano gli attributi delle regole e delle policy firewall che puoi utilizzare. Per le reti VPC RoCE, consulta Cloud NGFW per le reti VPC RoCE anziché questa pagina.

Ordine di applicazione delle policy firewall di rete

Ogni rete VPC standard ha un ordine di applicazione dei criteri firewall di rete che controlla quando vengono valutate le regole nei criteri firewall di rete globali e regionali.

  • AFTER_CLASSIC_FIREWALL (impostazione predefinita): Cloud NGFW valuta le regole firewall VPC prima di valutare le regole nelle policy del firewall di rete globali e regionali.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW valuta le regole nelle policy del firewall di rete globali e nelle policy del firewall di rete regionali prima di valutare le regole firewall VPC.

Per modificare l'ordine di applicazione delle policy firewall di rete, esegui una delle seguenti operazioni:

  • Utilizza il metodo networks.patch e imposta l'attributo networkFirewallPolicyEnforcementOrder della rete VPC.

  • Utilizza il comando gcloud compute networks update con il flag --network-firewall-policy-enforcement-order.

    Ad esempio:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo di valutazione delle regole firewall

Questa sezione descrive l'ordine in cui Cloud NGFW valuta le regole che si applicano alle risorse di destinazione nelle reti VPC regolari.

Ogni regola firewall è una regola in entrata o in uscita, a seconda della direzione del traffico:

  • Le regole in entrata si applicano ai pacchetti per una nuova connessione ricevuta da una risorsa di destinazione. Le risorse di destinazione supportate per le regole in entrata sono le seguenti:

    • Interfacce di rete delle istanze di macchine virtuali (VM).

    • Proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni (anteprima).

  • Le regole di uscita si applicano ai pacchetti per una nuova connessione inviati da un'interfaccia di rete VM di destinazione.

Cloud NGFW valuta sempre le regole nelle policy firewall gerarchiche e nelle policy firewall di sistema regionali prima di valutare qualsiasi altra regola firewall. Controlli l'ordine in cui Cloud NGFW valuta le altre regole firewall scegliendo un ordine di applicazione delle policy del firewall di rete. L'ordine di applicazione delle policy del firewall di rete può essere AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL network firewall policy enforcement order

Quando l'ordine di applicazione delle policy firewall di rete è AFTER_CLASSIC_FIREWALL, Cloud NGFW valuta le regole nelle policy firewall di rete globali e regionali dopo aver valutato le regole firewall VPC. Questo è l'ordine di valutazione predefinito.

In una rete VPC normale che utilizza l'ordine di applicazione AFTER_CLASSIC_FIREWALL, l'ordine di valutazione completo delle regole firewall è il seguente:

  1. Criteri firewall gerarchici.

    Cloud NGFW valuta i criteri firewall gerarchici nel seguente ordine:

    1. Il criterio firewall gerarchico associato all'organizzazione che contiene la risorsa di destinazione.
    2. Policy firewall gerarchiche associate agli antenati della cartella, dalla cartella di primo livello alla cartella che contiene il progetto della risorsa di destinazione.

    Quando valuta le regole in ogni policy firewall gerarchica, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall gerarchico, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua con una delle seguenti opzioni:
      • Una policy firewall gerarchica associata a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

    Se nessuna regola in un criterio firewall gerarchico corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy firewall gerarchica associata a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

  2. Policy del firewall di sistema regionali.

    Quando valuta le regole delle policy del firewall di sistema regionali, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy del firewall di sistema regionale, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua fino a
      • Una policy firewall di sistema regionale con la priorità di associazione più alta successiva, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

    Se nessuna regola in un criterio firewall di sistema regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy firewall di sistema regionale con la priorità di associazione più alta successiva, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

  3. Regole firewall VPC.

    Quando valuta le regole firewall VPC, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    Quando una o due regole firewall VPC corrispondono al traffico, l'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.

    Se due regole corrispondono, devono avere la stessa priorità, ma azioni diverse. In questo caso, Cloud NGFW applica la regola firewall VPC deny e ignora la regola firewall VPC allow.

    Se nessuna regola firewall VPC corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita per continuare con il passaggio successivo nell'ordine di valutazione.

  4. Policy del firewall di rete globale.

    Quando valuta le regole in una policy del firewall di rete globale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy firewall di rete globale, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua fino al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

    Se nessuna regola in una policy del firewall di rete globale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione fino al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

  5. Policy firewall di rete regionali.

    Cloud NGFW valuta le regole nelle policy del firewall di rete regionali associate alla regione e alla rete VPC della risorsa di destinazione.

    Quando valuta le regole in una policy firewall di rete regionale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete regionale, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua con il passaggio successivo nell'ordine di valutazione.

    Se nessuna regola di un criterio firewall di rete regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione al passaggio successivo nell'ordine di valutazione.

  6. Ultimo passaggio: azione implicita.

    Cloud NGFW applica un'azione implicita se la valutazione della regola firewall è proseguita in ogni passaggio precedente seguendo azioni esplicite o implicite goto_next. L'azione implicita dipende dalla direzione del traffico:

    • Per il traffico in entrata, l'azione implicita dipende anche dalla risorsa di destinazione:

      • Se la risorsa di destinazione è un'interfaccia di rete di un'istanza VM, l'azione di ingresso implicita è deny.

      • Se la risorsa di destinazione è una regola di forwarding di un bilanciatore del carico delle applicazioni interno o di un bilanciatore del carico di rete proxy interno, l'ingresso implicito è allow.

    • Per il traffico in uscita, l'azione implicita è allow.

AFTER_CLASSIC_FIREWALL diagramma

Il seguente diagramma illustra l'ordine di applicazione dei criteri firewall di rete AFTER_CLASSIC_FIREWALL:

Flusso di risoluzione delle regole firewall.
Figura 1. Flusso di risoluzione delle regole firewall se l'ordine di applicazione della policy firewall di rete è AFTER_CLASSIC_FIREWALL (fai clic per ingrandire).

BEFORE_CLASSIC_FIREWALL network firewall policy enforcement order

Quando l'ordine di applicazione delle policy del firewall di rete è BEFORE_CLASSIC_FIREWALL, Cloud NGFW valuta le regole nelle policy del firewall di rete globali e regionali prima di valutare le regole firewall VPC.

In una normale rete VPC che utilizza l'ordine di applicazione BEFORE_CLASSIC_FIREWALL, l'ordine di valutazione completo delle regole firewall è il seguente:

  1. Criteri firewall gerarchici.

    Cloud NGFW valuta i criteri firewall gerarchici nel seguente ordine:

    1. Il criterio firewall gerarchico associato all'organizzazione che contiene la risorsa di destinazione.
    2. Policy firewall gerarchiche associate agli antenati della cartella, dalla cartella di primo livello alla cartella che contiene il progetto della risorsa di destinazione.

    Quando valuta le regole in ogni policy firewall gerarchica, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall gerarchico, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua con una delle seguenti opzioni:
      • Una policy firewall gerarchica associata a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

    Se nessuna regola in un criterio firewall gerarchico corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy firewall gerarchica associata a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

  2. Policy del firewall di sistema regionali.

    Quando valuta le regole delle policy del firewall di sistema regionali, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy del firewall di sistema regionale, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua fino a
      • Una policy firewall di sistema regionale con la priorità di associazione più alta successiva, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

    Se nessuna regola in un criterio firewall di sistema regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy firewall di sistema regionale con la priorità di associazione più alta successiva, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

  3. Policy del firewall di rete globale.

    Quando valuta le regole in una policy del firewall di rete globale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy firewall di rete globale, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua fino al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

    Se nessuna regola in una policy del firewall di rete globale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione fino al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

  4. Policy firewall di rete regionali.

    Cloud NGFW valuta le regole nelle policy del firewall di rete regionali associate alla regione e alla rete VPC della risorsa di destinazione.

    Quando valuta le regole in una policy firewall di rete regionale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete regionale, al massimo una regola può corrispondere al traffico. L'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua con il passaggio successivo nell'ordine di valutazione.

    Se nessuna regola di un criterio firewall di rete regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione al passaggio successivo nell'ordine di valutazione.

  5. Regole firewall VPC.

    Quando valuta le regole firewall VPC, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando si verifica una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    Quando una o due regole firewall VPC corrispondono al traffico, l'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.

    Se due regole corrispondono, devono avere la stessa priorità, ma azioni diverse. In questo caso, Cloud NGFW applica la regola firewall VPC deny e ignora la regola firewall VPC allow.

    Se nessuna regola firewall VPC corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita per continuare con il passaggio successivo nell'ordine di valutazione.

  6. Ultimo passaggio: azione implicita.

    Cloud NGFW applica un'azione implicita se la valutazione della regola firewall è proseguita in ogni passaggio precedente seguendo azioni esplicite o implicite goto_next. L'azione implicita dipende dalla direzione del traffico:

    • Per il traffico in entrata, l'azione implicita dipende anche dalla risorsa di destinazione:

      • Se la risorsa di destinazione è un'interfaccia di rete di un'istanza VM, l'azione di ingresso implicita è deny.

      • Se la risorsa di destinazione è una regola di forwarding di un bilanciatore del carico delle applicazioni interno o di un bilanciatore del carico di rete proxy interno, l'ingresso implicito è allow.

    • Per il traffico in uscita, l'azione implicita è allow.

BEFORE_CLASSIC_FIREWALL diagramma

Il seguente diagramma illustra l'ordine di applicazione dei criteri firewall di rete BEFORE_CLASSIC_FIREWALL:

Flusso di risoluzione delle regole firewall.
Figura 2. Flusso di risoluzione delle regole firewall se l'ordine di applicazione della policy firewall di rete è BEFORE_CLASSIC_FIREWALL (fai clic per ingrandire).

Regole firewall effettive

Le regole delle policy firewall gerarchiche, le regole firewall VPC e le regole delle policy firewall di rete globali e regionali controllano le connessioni. Potrebbe essere utile visualizzare tutte le regole firewall che interessano una singola rete o un'interfaccia VM.

Regole firewall effettive della rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole firewall VPC
  • Regole applicate dalle policy firewall di rete globali e regionali

Regole firewall effettive dell'istanza

Puoi visualizzare tutte le regole firewall applicate all'interfaccia di rete di una VM. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole applicate dal firewall VPC dell'interfaccia
  • Regole applicate dalle policy firewall di rete globali e regionali

Le regole sono ordinate dal livello dell'organizzazione alla rete VPC. Vengono visualizzate solo le regole che si applicano all'interfaccia VM. Le regole di altre norme non vengono mostrate.

Per visualizzare le regole del criterio firewall effettivo all'interno di una regione, consulta Recuperare i criteri firewall regionali effettivi per una rete.

Regole predefinite

Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete regionale, Cloud NGFW aggiunge regole predefinite al criterio. Le regole predefinite che Cloud NGFW aggiunge alla policy dipendono da come crei la policy.

Se crei un criterio firewall utilizzando la console Google Cloud , Cloud NGFW aggiunge le seguenti regole al nuovo criterio:

  1. Regole di salto alla successiva per intervalli IPv4 privati
  2. Regole di negazione predefinite di Google Threat Intelligence
  3. Regole di negazione della geolocalizzazione predefinite
  4. Regole Vai al successivo con la priorità più bassa possibile

Se crei una policy firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge alla policy solo le regole goto-next con la priorità più bassa possibile.

Tutte le regole predefinite in una nuova policy firewall utilizzano intenzionalmente priorità basse (numeri di priorità elevati) in modo da poterle sostituire creando regole con priorità più elevate. Ad eccezione delle regole Vai al successivo con la priorità più bassa possibile, puoi anche personalizzare le regole predefinite.

Regole di goto-next per gli intervalli IPv4 privati

  • Una regola di uscita con intervalli IPv4 di destinazione 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1000 e azione goto_next.

  • Una regola di traffico in entrata con intervalli IPv4 di origine 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1001 e azione goto_next.

Regole di negazione predefinite di Google Threat Intelligence

  • Una regola di ingresso con l'elenco di origine Google Threat Intelligence iplist-tor-exit-nodes, priorità 1002 e azione deny.

  • Una regola di ingresso con l'elenco di origine Google Threat Intelligence iplist-known-malicious-ips, priorità 1003 e azione deny.

  • Una regola di uscita con elenco di destinazione Google Threat Intelligence iplist-known-malicious-ips, priorità 1004 e azione deny.

Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

Regole di negazione della geolocalizzazione predefinite

  • Una regola di ingresso con geolocalizzazioni corrispondenti all'origine CU,IR, KP, SY, XC, e XD, priorità 1005 e azione deny.

Per saperne di più sulle geolocalizzazioni, consulta Oggetti di geolocalizzazione.

Regole Vai al successivo con la priorità più bassa possibile

Non puoi modificare o eliminare le seguenti regole:

  • Una regola di uscita con intervallo IPv6 di destinazione ::/0, priorità 2147483644 e azione goto_next.

  • Una regola di traffico in entrata con intervallo IPv6 di origine ::/0, priorità 2147483645 e azione goto_next.

  • Una regola di traffico in uscita con intervallo IPv4 di destinazione 0.0.0.0/0, priorità 2147483646 e azione goto_next.

  • Una regola di traffico in entrata con intervallo IPv4 di origine 0.0.0.0/0, priorità 2147483647 e azione goto_next.

Passaggi successivi